Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Оценивание рисков

Глава 2 Управление рисками и международные стандарты | Обзор стандарта BS 7799 | Развитие стандарта BS 7799 (ISO 17799) | Германский стандарт BSI | Сравнение стандартов ISO 17799 и BSI | Стандарт США NIST 800-30 | Алгоритм описания информационной системы | Идентификация угроз и уязвимостей | Организация защиты информации | XBSS-спецификации сервисов безопасности Х/Ореп |


Читайте также:
  1. I. Виды социальных рисков и направления социального страхования
  2. Авантюра, рискованное дело, опасные приключения, травмы
  3. АНАЛИЗ РИСКОВ
  4. Анализ рисков
  5. Вероятности возникновения некоторых видов рисков
  6. Виды рисков и их оценка
  7. Вопрос доходности, рисков и гарантий.

При оценивании рисков рекомендуется рассматривать следующие аспекты:

– шкалы и критерии, по которым можно измерять риски;

– оценку вероятностей событий;

– технологии измерения рисков.

Шкалы и критерии, по которым измеряются риски. Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) или косвенными (производными). Примерами прямых шкал являются шкалы для измерения физических величин, например шкалы для измерения объемов жидкости в литрах, шкалы для измерения длины в метрах. В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Пример - шкала для измерения субъективного свойства «ценность информационного ресурса». Эта ценность может измеряться в единицах измерения производных шкал, таких как стоимость восстановления ресурса, время восстановления ресурса и др. Другой вариант - определить шкалу для получения экспертной оценки, например имеющую три значения:

– малоценный информационный ресурс: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;

– ресурс средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления - высокая;

– ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.

Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия - оценка владельцем информационного ресурса риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку:

– оценка должна отражать субъективную точку зрения владельца информационных ресурсов;

– следует учитывать различные аспекты - не только технические, но и организационные, психологические и т.д.

Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК можно либо воспользоваться прямой экспертной оценкой, либо определить функцию, преобразующую объективные данные (вероятность) в субъективную шкалу рисков.

Субъективные шкалы бывают количественными и качественными, но на практике, как правило, применяются качественные шкалы с 3-7 градациями. С одной стороны, это просто и удобно, с другой - требует грамотного подхода к обработке данных.

Объективные и субъективные вероятности

Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также полученных как следствия из моделей, описывающих некоторые процессы.

Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Именно в этом смысле мы и будем понимать субъективную вероятность в дальнейшем. Субъективная вероятность в современных работах в области системного анализа не просто позволяет определить меру уверенности на множестве событий, а увязывается с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения из множества альтернатив. Тесная связь между субъективной вероятностью и полезностью используется при построении некоторых методов получения субъективной вероятности.

Получение оценок субъективной вероятности

Процесс получения субъективной вероятности обычно разделяют на три этапа: подготовительный этап, получение оценок, этап анализа полученных оценок.

Первый этап. Во время этого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов (обзор основных методов рассматривается в приложении 6) определения субъективной вероятности. На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.

Второй этап. Состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым.

Третий этап. На этом этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.

Для некоторых методов получения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе подчиняющегося аксиомам ве-роятности вероятного распределения, которое в том или ином смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, предложенных группой экспертов. Более подробно технология агрегирования групповых оценок применительно к факторам риска рассмотрена в приложении 6.


Дата добавления: 2015-09-02; просмотров: 125 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Идентификация рисков| Измерение рисков

mybiblioteka.su - 2015-2024 год. (0.006 сек.)